Forscher kritisiert mangelhafte Sicherheit bei FinTech-Start-ups

N26 App auf Smartphone (Bild: N26)

Sicherheitsforscher Vincent Haupert hat auf dem 33C3 in Hamburg gezeigt, wie sich Schwachstellen bei Angeboten des Berliner Unternehmens N26 relativ leicht ausnutzen lassen. Dennoch können die Folgen gravierend sein. N26 steht aber stellvertretend für die ganze Branche am Pranger.

Auf dem diese Woche in Hamburg stattfindenden 33. Chaos Communication Congress (33C3) hat der Sicherheitsforscher Vincent Haupert auf erhebliche Sicherheitsmängel bei Start-ups der FinTech-Szene hingewiesen. Exemplarisch zeigte er am Beispiel von N26, wie sich Schwachstellen mit potenziell gravierenden Folgen schon relativ einfach ausnutzen lassen. Haupert gelang es in seinem Vortrag unabhängig vom verwendeten Gerät, an Kundendaten zu kommen, Transaktionen unmittelbar zu manipulieren, Konten zu übernehmen und sogar willkürliche Transaktionen zu veranlassen wenn kein Guthaben vorhanden war.

Das europaweit tätige, in Berlin ansässige Start-up wurde am 25. September 2016 von Haupert über die Sicherheitslücken informiert und darauf hingewiesen, dass diese in einem Vortrag auf dem 33C3 vorgeführt würden. Grundsätzlich wirft Haupert Fintechs vor, dass sie sich in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war, zu sehr auf Design und Funktionen konzentrierten.

Sicherheitsforscher werfen Fin-Tech-Start-ups wie N26 vor, sich zu sehr auf Design und Funktionen zu konzentrieren (Screenshot: silicon.de)
Sicherheitsforscher werfen Fin-Tech-Start-ups wie N26 vor, sich zu sehr auf Design und Funktionen zu konzentrieren und dabei das bei Banken bewährte Prinzip “Security-by-Design” zu vernachlässigen (Screenshot: silicon.de)

Das bringe ihnen zwar Vorteile im Wettbewerb mit etablierten Banken, zeuge aber von einem grundsätzlich falschen Verständnis von Sicherheit: Seiner Ansicht nach tragen Fintechs wesentlich zum Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen in der Finanzbranche bei. Ein Aspekt sei die Aufweichung der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begonnen habe. Haupert weiter: “Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.”

N26 hat seine Kunden inzwischen zwar auf die Sicherheitsprobleme hingewiesen, spielt sie jedoch herunter und spricht von “eventuellen Sicherheitslücken”. Die seien inzwischen vollständig geschlossen worden. Schadensfälle durch den “theoretischen Zugriff” seien keine bekannt. Es empfiehlt seinen Kunden, Apps aktuell zu halten und hat angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.

Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim CCC-Kongress 2015 zeigte er, wie sich die damals aktuellste Version der PushTAN-App der Sparkasse erneut aushebeln ließ. Er kritisierte dieses Verfahren als von Grund auf anfällig.

[mit Material von Bernd Kling, ZDNet.de]